Apple s’en prendrait aux applications concurrentes à Temps d’écran
iOS 12 a introduit la fonction Temps d’écran, qui permet de connaître précisément le temps passé derrière chacun de ses petits écrans mobiles. Des fonctions de contrôle parental sont également intégrées… même si tout n’est pas parfait, surtout quand on a à la maison des gamins malins (lire aussi : Greg Joswiak : Temps d'écran n'est pas là pour brider mais pour informer).
La présence de cette fonction pousse-t-elle l’équipe de validation de l’App Store à faire du zèle ? Depuis quelques temps en effet, des applications tierces de mesure du temps d’écran font l’objet d’une surveillance soutenue de la part d’Apple. TechCrunch relate les mésaventures de plusieurs d’entre elles : Mute a disparu de la boutique en octobre, Space le mois dernier…
Néanmoins, après avoir fait connaître publiquement leur mécontentement, ces développeurs ont eu l’heureuse surprise de voir leurs apps de nouveau autorisées dans l’App Store. D’autres n’ont pas quitté l’échoppe, mais Apple en refuse les mises à jour, comme pour Kidslox. Bref, une situation délicate pour des éditeurs présents sur ce marché depuis plusieurs années pour certains, et qui ont bâti leurs entreprises sur ce service.
Les petites mains de l’App Store reprochent généralement aux développeurs d’enfreindre deux articles du guide de bonne conduite : l’article 2.5.1 concernant l’usage des API publiques, et l’article 2.5.4 sur les apps qui moulinent leurs fonctionnalités en tâche de fond. Apple a indiqué à plusieurs d’entre eux que leur implémentation de la mesure du temps d’écran et des contrôles parentaux n’était désormais plus autorisée.
Plusieurs de ces applications détournent en effet des fonctions MDM (Mobile Device Management) normalement destinées à un usage en entreprise, et/ou de VPN. Kidslox par exemple s’appuie sur un réseau privé virtuel afin de connaitre le temps passé par l’utilisateur sur son appareil.
Le studio OurPact, qui développe l’application du même nom, s’est fait confirmer par Apple que les logiciels de gestion d’accès et de contenu en-dehors de la fonction intégrée Temps d’écran ne seront pas autorisés dans l’écosystème iOS. Une décision « incroyablement décevante » pour Amir Moussavian, le patron d’Eturi, maison-mère de OurPact.
Est-ce à dire qu’Apple organise une « destruction systématique » de l’industrie des applications tierces de temps d’écran ? C’est le discours choc que tient Viktor Yevpak, le patron de Kidslox dont l’app est dans les limbes. La Pomme voit sans doute d’un œil mauvais le détournement des fonctions VPN et MDM ; mais toutes ces années, les validateurs de l’App Store ont laissé passer les apps basées sur ces technologies.
Si Apple n’a pas voulu commenter officiellement toute cette histoire, TechCrunch a entendu qu’il ne s’agissait pas d’une cabale du constructeur contre ces applications tierces, mais simplement d’un processus de révision en cours. Ce d’autant que ces apps enfreignent les règles depuis un moment et qu’Apple a toute liberté pour les renforcer quand elle le souhaite (même si cela semble injuste aux yeux des développeurs, bien sûr).
La disparition de plusieurs applications de mesure et de gestion du temps d’écran serait sans doute mal perçue, dans un contexte où le bien-être numérique génère beaucoup d’intérêt de la part de parents inquiets par l’addiction numérique. Apple n’est pas la seule à proposer une solution : Google a introduit l’équivalent de Temps d’écran dans Android P, et on trouve des outils similaires dans les apps de Facebook.
Étant développeur et utilisateur je suis pas totalement en désaccord avec ce que Apple a fait: je suis pour une règlementation TRÈS stricte pour l’utilisation des vpn (pour des raisons qu’on sait tous) mais l’utilisation dans ce genre d’app est légitime (Charles par exemple l’utilise pour le debugage réseau) mais d’un autre côté on sait pas si ces app sniff les requêtes et les envois a leur serveurs ou pas ! C’est la question !
@RedMak
Apple est en train aussi de changer le mode d’enrôlement MDM dans les bêta en cours ce qui va avoir un fort impact pour l’entreprise...
De tout manière c’est clair que la fonction VPN est utilisée dans tous les sens via les apps simplement pour analyser le traffic et assurer des fonctions diverses (anti-phishing/virus, calcul de temps, ...)
Logique qu’Apple durcisse la règle
@Xalio
Ouf... Des commentaires de Pros ! Merci de vos éclaircissements.
@Malouin
+1
@Xalio
> Logique qu’Apple durcisse la règle
Non, ce qui serait logique c'est Apple offre au propriétaire d'un terminal sous iOS de choisir s'il veut que telle app ait ou non le droit d'observer son trafic pour les raisons prétendues par ladite app.
Qu'elle l'impose de force unilatéralement, c'est réduire et à postériori de l'acte d'achat les usages possibles autorisés au propriétaire.
Et ça, tant qu'elle vend ses terminaux et sa license d'usage à vie de iOS, non c'est pas logique. Pour que cela le soit, il faudrait que les iPhone et la license d'usage de la plateforme iOS soient loué aux clients, pas vendues.
Mais comme tout le monde trouve normal qu'un vendeur garde de plus en plus de contrôle sur ce qu'il a pourtant vendu, faut croire que la logique n'est plus ce qu'elle était.
Chez moi pendant environ 1 mois Temps d’écran ne fonctionnait plus... Il m’affichait que je pensait environ 3min sur mon iPhone par jour
Depuis peu c’est revenu à là normal !
“Kidslox par exemple s’appuie sur un réseau privé virtuel afin de connaitre le temps passé par l’utilisateur sur son appareil.”
Autrement dit: Kidslox & autres sniffent en permanence l’usage des differentes applis… et le traitement n’est pas “en local”.
Bonjour l’inquisition ! On aboutit à un profilage très précis de l’utilisateur (applis installées, emploi du temps, centres d’intérêt, etc.). Le type de profil qui vaut de l’or à la revente.
Il est normal, & bienvenu, qu’Apple voit d’un mauvais œil le détournement de ses outils pour un usage aussi répréhensible.
@BLM
+1
@BLM
Un VPN ne redirige pas obligatoirement toutes les cnx vers un serveur distant. Tu peux faire un VPN local. C’est le système mis en place par toutes les applications de blocage de pub.
Pour plus d’info je te laisse faire des recherches.
@hirtrey
Ce n’est pas le problème. Le problème c’est que l’utilisateur est dans l’incapacité de savoir ce que fait ce vpn. Local ou non. Et donc ce qui est fait de ses données.
Pour le moment, ces gens semblent vertueux, mais qui dit qu’ils vont le rester ? Apple met donc des garde-fous.
On ne le sait pas plus avec l'app d'Apple.
Là aussi votre remarque s'applique: "pour le moment ces gens semblent vertueux mais qui dit qu'ils vont le rester?"
@Nesus
> Ce n’est pas le problème. Le problème c’est que l’utilisateur est dans l’incapacité
> de savoir ce que fait ce vpn. Local ou non. Et donc ce qui est fait de ses données.
Il est tout autant dans l'incapacité de savoir ce que font toutes les applications tournant sous iOS de ses données, en local ou pas.
Qui peut réellement savoir ce que fait Temps d'Ecran officiel d'Apple ?
Ou Apple Music ? Ou Safari ? Ou AppStore ?
Et, pourtant, là, cela ne lui pose pas de problèmes.
> Apple met donc des garde-fous.
Qu'elle contourne quand cela l'arrange, elle.
Les garde-fous, c'est l'utilisateur qui devrait en avoir le contrôle, pas Apple.
C'est ça le problème de fond.
L'utilisateur n'a plus le contrôle définitif sur ses usages.
Alors, parce que cela lui prendrait trop de temps - et parce qu'on lui explique bien qu'il ne devrait pas s'occuper de ça, voyons - il délègue (ou n'a pas le choix de devoir le faire) ce contrôle à un tiers.
Tout repose donc sur la confiance qu'il a dans ce tiers pour ne pas en profiter pour faire autre chose de cette délégation.
Que ce tiers soit Apple ou pas ne change rien au principe, y'a délégation de pouvoir et aucun moyen de contrôler comment se fait vraiment cette délégation de pouvoir.
TL;DR;
C'est un problème de qui contrôle celui qui contrôle.
Or, aujourd'hui, ce n'est plus l'utilisateur, pourtant propriétaire à vie d'une plateforme matérielle et d'une licence d'usage à vie du logiciel préinstallé dessus, qui l'a.
@byte_order
C’est intéressant comment analyse. Totalement faux, mais intéressant.
Petit rappel. Depuis le RGPD, vous pouvez télécharger l’ensemble des données qu’Apple collecte. iOS étant décortiqué en long et en large chaque jours par des milliers de devs/hacker... nous savons/saurons s’il y a débordement (c’est quand même plus simple de contrôler iOS que des milliers d’apps). Apple s’est mis d’elle-même dans la pire des situations. Pour vendre elle a demandé la confiance de ses clients. Elle l’indique partout (rappelons qu’elle a embrassé le RGPD, plus vite qu’il ne faut de temps pour dire ouf). Demain, si un usage n’est pas fait comme elle l’indique, elle est susceptible de perdre une partie très importante de ses utilisateurs. Donc c’est toujours celui qui a le portefeuille qui a le pouvoir. En tout cas pour ceux qui s’en souci. Les autres sont sur Android et vous expliquent qu’ils n’ont rien à cacher.
Et Apple donne beaucoup de latence à l’utilisateur dans ce qu’il veut partager ou non. Ce qui facilite le contrôle des devs/hackers. Il suffit de vérifier que la donnée bloquée le soit bien pour vérifier si Apple ne triche pas.
Donc oui, il y a confiance, mais elle est très loin d’être aveugle. En fait, c’est la même confiance que vous faites à votre boucher sur la qualité de sa viande, à votre maraîcher, votre magasin... c’est l’interdépendance qui fait que chacun se tient à ce qu’il a annoncé.
@Nesus
> Petit rappel. Depuis le RGPD, vous pouvez télécharger l’ensemble des données
> qu’Apple collecte.
Quelle preuve avez-vous que cet ensemble est complet ?
Aucune. C'est juste une histoire de confiance, vous n'avez aucun moyen de contrôler que c'est vraiment complet. Des données soit-disant pas collectée qui l'était finalement, ou conservées pas plus de N jours/mois qui l'étaient finalement bien au delà, y'a déjà eu des cas, hein.
> iOS étant décortiqué en long et en large chaque jours par des milliers de devs/hacker...
Oui, en effet, iOS, comme tout logiciel très connu, est plus observé de près qu'une application lambda à l'audience infiniment plus faible.
Sur ce point, je suis totalement d'accord.
J'aimerais juste qu'il soit considéré tout autant valable quand il s'agit d'autres logiciels à l'audience tout aussi massive voir supérieure. Or on lit encore souvent que Google cache des trucs dans Android ou Chrome... Ils sont pourtant tout autant observé par des dev/hackers, d'autant plus qu'une partie importante du code est open source.
Etrangement, cet argument n'est retenu que pour Apple mais pas pour ses concurrents.
Comme si la confiance ou la paranoïa devait varier selon la marque plutôt que selon la transparence ou le niveau de surveillance faite sur ces marques...
> Et Apple donne beaucoup de latence à l’utilisateur dans ce qu’il veut partager ou non.
Ben s'il veut que les requêtes DNS pour des sites de pubs ne passent jamais, non, Apple ne lui donne pas le choix. Ni si l'utilisateur *veut* ne pas les bloquer, sauf si c'est Safari derrière. Elle choisi à sa place dans d'autre cas qu'il *veut* bloquer tel VPN local, etc.
Non, le contrôle n'est clairement pas équilibré entre Apple et l'utilisateur. Apple lutte toujours pour interdire le jailbreak par exemple... C'est bien une histoire de contrôle.
Quand à mon boucher, il m'a déjà arnaqué. C'est en contrôlant les cartons cachés dans la cour que j'ai vu la vraie provenance...
@hirtrey
«Un VPN ne redirige pas obligatoirement toutes les cnx vers un serveur distant. […] Pour plus d’info je te laisse faire des recherches.»
Trop aimable, je sais comment fonctionne un VPN.
«cnx» ça fait tout de suite sérieux…
«Tu peux faire un VPN local.»
VPN => réseau => 2 machines (sauf à supposer une machine avec des services dialoguant entre eux sous 2 adresses différentes, mais: je ne pense pas que ce soit possible sous iOS, je ne saurais pas faire sous MacOS, et je ne vois pas l’intérêt que ça aurait pour analyser l’activité sur la machine).
Donc :
- si kidslock fonctionnait avec un VPN local, il faudrait que l’utilisateur (outre son iPhone/iPad) ait un Mac/Wintel chez lui. C’est le cas? Non. Donc le VPN n’est pas local.
- «C’est le système mis en place par toutes les applications de blocage de pub»
C’est ça… Pour installer un bloqueur de pub, il faut 2 machines chez soi… une qui surfe et l’autre qui filtre (par quel miracle?).
Alors, oui, il est possible sur UNE machine de rejeter/filtrer/bloquer certaines pub avec une extension qui gère un catalogue d’IP indésirables ou qui fait une “analyse sémantique” (“parse”) de comportements inappropriés (pop-up? Poubelle. Bannière? Poubelle. Affichage de contenu extérieur au site visité. Poubelle). Mais je n’appellerais pas ça un VPN.
Maintenant, si vous avez quelques exemples de bloqueurs de pub qui fonctionnent avec un vrai VPN (sur UNE machine.Puisque selon vous, tous fonctionnent sur ce principe) dont vous détailleriez le comportement, je suis preneur. Cela sera plus intéressant que d’asséner sans substrat des "vérités" à mon ignorance.
@BLM
> VPN => réseau => 2 machines
Non, cela n'a rien d'automatique.
Le V vient de "Virtuel", pour rappel.
Le réseau (le N) est virtualisé.
Il peut parfaitement n'être que purement local à la machine.
> je ne pense pas que ce soit possible sous iOS
Ben si.
> et je ne vois pas l’intérêt que ça aurait pour analyser l’activité sur la machine
Cela permet de voir le trafic réseau entrant et sortant sur la machine, et donc d'en déduire l'activité sur Internet de l'utilisateur de ladite machine. On peut évidement faire autrement pour observer ce trafic, mais dans les OS de plus en plus sandboxés, souvent il ne reste que le mécanisme de VPN qui le permet.
> si kidslock fonctionnait avec un VPN local, il faudrait que l’utilisateur
> (outre son iPhone/iPad) ait un Mac/Wintel chez lui
Hein !?
Mais non. Le VPN local n'existe que dans son iPhone. D'où le terme "local" : seule une machine connait l'existence de ce réseau et et le couple client/serveur VPN, tous deux locaux, sont les seuls capable d'envoyer et de recevoir du trafic réseau dedans. Le serveur VPN local, qui tourne localement, retransmet le trafic vers le réseau WAN, après avoir profiter de l'occasion pour observer ce trafic, c'est tout.
> Maintenant, si vous avez quelques exemples de bloqueurs de pub qui fonctionnent
> avec un vrai VPN (sur UNE machine.Puisque selon vous, tous fonctionnent sur ce
> principe) dont vous détailleriez le comportement, je suis preneur.
Ceux qui sont capable de véritablement bloquer les pubs partout, et pas uniquement dans une page Web affichée par Safari, si :
https://www.adblockios.com/faq/#2
Sauf que comme c'est tellement efficace que cela bloque aussi les pubs affichées dans d'autres apps et donc menaçait indirectement les intérêts financiers d'Apple, elle a dit oui à la pub - sauf Safari - et tant pis pour l'utilisateur :
https://www.igen.fr/app-store/2017/07/apple-rejette-les-apps-vpn-qui-blo...
@byte_order
Tout d’abord, merci pour la longue contribution avec des liens:
«“@BLM > VPN => réseau => 2 machines”
Non, cela n'a rien d'automatique. Le V vient de "Virtuel", pour rappel.
Le réseau (le N) est virtualisé. »
Merci, je sais ce que veut dire VPN
«Il peut parfaitement n'être que purement local à la machine.»
1) exemple?
2) j’ai envisagé cette possibilité (que je n’ai jamais rencontrée) en faisant ds ma contribution la distinction entre un "vrai" VPN et le cas d’UNE machine "schizophrène" qui se parlerait à elle-même en faisant dialoguer des services. Mais, soit! C’est une question de définition.
«“> je ne pense pas que ce soit possible sous iOS” Ben si.»
Exemple?
«“> et je ne vois pas l’intérêt que ça aurait pour analyser l’activité sur la machine”
Cela permet de voir le trafic réseau entrant et sortant sur la machine, et donc d'en déduire l'activité sur Internet de l'utilisateur de ladite machine.»
Je parlais de “l’activité” de la machine, pas d’une activité réduite à ce que la machine échange sur Internet. L’application «temps d’écran » d’Apple ne se résume pas au temps passé sur le Web en utilisant Safari.
D’autre part, si on parle de «trafic entrant et sortant de la machine», il n’y a pas besoin d’un VPN pour ça mais juste d’une extension qui s’intercale entre le trafic entrant et le navigateur ;
«On peut évidement faire autrement pour observer ce trafic, mais dans les OS de plus en plus sandboxés, souvent il ne reste que le mécanisme de VPN qui le permet.»
On parlait d’applications de "temps d’écran"; en quoi un VPN permettrait-t-il de savoir que j’ai laissé mon iPad ouvert une demi-heure, ou que j’ai utilisé une application de tracé de graphe pendant cinq minutes ?
«"> si kidslock fonctionnait avec un VPN local, il faudrait que l’utilisateur (outre son iPhone/iPad) ait un Mac/Wintel chez lui"
Hein !? Mais non. Le VPN local n’existe que dans son iPhone. D'où le terme "local" : seule une machine connait l'existence de ce réseau et et le couple client/serveur VPN, tous deux locaux, sont les seuls capable d'envoyer et de recevoir du trafic réseau dedans.»
Non pour «local». On parle de VPN local qd le serveur n’est pas sur internet; un (vrai) VPN local est local parce que LES machineS le sont.
Mais admettons que l’on élargisse ce terme «local» pour désigner un « VPN local local » c’est-à-dire interne à une machine.
(Je sais faire avec une machine équipée de deux cartes réseaux chacune avec une adresse IP différente, qui dialoguent entre elles)
1) L’architecture client–serveur est une architecture dissymétrique, avec un client qui envoie une requête à un serveur qui lui répond. Pour comprendre ce que vous voulez dire, il me faudrait un exemple de telle application qui implémente cette structure dans iOS.
2) et de toute façon, je ne vois pas en quoi un tel dialogue purement local pourrait sniffer toute activité sur iPad/iPhone.
« Le serveur VPN local, qui tourne localement, retransmet le trafic vers le réseau WAN, après avoir profiter de l’occasion pour observer ce trafic, c'est tout»
1) Lorsque je tape du texte, il n’y a aucun trafic.
2) ensuite si l’activité (plutôt que le trafic) est retransmise sur le réseau WAN… C’est Là qu’est l’os: où est alors le P de «Private» ?
«"> Maintenant, si vous avez quelques exemples de bloqueurs de pub qui fonctionnent avec un vrai VPN (sur UNE machine.Puisque selon vous, tous fonctionnent sur ce principe) dont vous détailleriez le comportement, je suis preneur".
Ceux qui sont capable de véritablement bloquer les pubs partout, et pas uniquement dans une page Web affichée par Safari, si :
https://www.adblockios.com/faq/#2»
En suivant le lien donné, on lit: AdBlock for iOS installs a VPN profile, that enables it to resolve DNS queries locally – right on your iPhone, iPad or iPod Touch. Every time some app tries to communicate with one of the domains from your list, local DNS server will resolve the domain with the IP of your choice.
1) Ce n’est pas un VPN (c’est ds cette description un terme marketing), c’est un proxy, un service qui filtre. C’est écrit en toutes lettres: AdBlock implémente un serveur DNS local qui remplace un nom de domaine par une IP au choix de l’utilisateur (par exemple on eput faire pointer les requêtes à Apple.com vers sa propre machine 127.0.0.0. Il n’y a même pas besoin d’un bloqueur de pub pour faire, mais ça n’a rien à voir avec un VPN (« A virtual private network (VPN) extends a private network across a public network and enables users to send and receive data across shared or public networks as if their computing deviceS were directly connected to the private network.» https://en.m.wikipedia.org/wiki/Virtual_private_network)
2) de plus je ne vois pas en quoi la problématique d’un bloqueur de pub a un rapport primordial avec ce qui est l’objet du présent article, à savoir:
- le détournement pas KidsLock d’API Apple pour espionner ce que font les autres applications;
- puis l’utilisation d’un VPN pour transférer les données ainsi sniffées (ici, le terme VPN est justifié: les données sont envoyées de façon sécurisées ( P ) sur le réseau (N) public (V P) internet à une machine distante).
Ce qui pose le pb de la confiance qu’on a ds la personne qui gère les données privées ainsi acquises.
Sur un smartphone, toutes les apps communiquent avec internet. Le VPN local permet d'intercepter ces échanges et d'en déduire quelle appli est en cours d'utilisation. C'est le plus simple pour une apps tierce de "temps d écran" car il n'y a pas d'API dédiée à cette surveillance (sauf probablement les API privées qu'Apple utilise mais auquel un développeur tiers n'a pas acces)
@SyMich
« Sur un Smartphone, toutes les apps communiquent avec Internet »
Ça m’étonnerait ; lorsque je ne suis pas en zone de couverture, ou bien en mode avion, la plupart des apps fonctionnent encore.
Elle essaie de le faire. Ça suffit pour savoir qu'elle est en fonctionnement.
@SyMich
1 preuve de ça? (Toutes les apps n’utilisent pas le « cloud »)
1 page technique d’Apple ? Une autre source ?
Effectivement, on reparlera longtemps d'algorithmes humanistes, dans la mesure d'intérêts détournés par des tiers malveillant.
L'effort d'Apple pour «attirer l'attention» sur ce fait oblige à s'intéresser à la question au point de pourvoir à une possibilité prochaine, voir trop lointaine pour d'autres, de normaliser une situation qui pourrait vite dégénérer si les enfants ne peuvent avoir le choix de ce tier pour protéger leurs centres d'intérêts naissant, afin de construire leurs propres réseaux.
Sinon, autant ne plus se servir de terminaux Apple pour d'unique connections à leurs serveurs pour faire on ne sait quoi comme on peut l'analyser sur Mac. À la seul différence que sur Mac on peut bloquer toutes ingérance, mais pas sur iOS sauf, en redirigeant tout le trafic avec un VPN sur un Mac qui assure cette fonctionnalité.
Mais où est donc le fameux hub numérique personnel chez Apple … sans ce iCloud aux services plus qu'écologiquement douteux pour nos futures petits monstres qu'Apple compte éduquer à son propre «mode de programmation» encore plus sale pour l'apprentissage de ses futures et très proches «algorithmes humanistes».
(À SUIVRE)
Ils feraient bien de s'intéresser de plus près aux vraies arnaques...
L'app prétendant mesurer la fréquence cardiaque grâce au bouton touchID et qui en profite pour vous faire valider un achat in-app, est de retour
https://itunes.apple.com/fr/app/heartbeat/id1058590623?mt=8
Il n'a même pas fallu attendre une semaine entre le retrait de la première version et sa nouvelle validation sous un autre nom et un "autre" développeur.
Merci Apple
Cette pratique évite ainsi de se retrouver avec des applications gourmandes en énergie
Et gourmande en informations personnelles
j'ai pas envie que iOs devienne Android
Probablement.
Le problème c'est qu'Apple ne s'intéresse à ces applications que lorsqu'elles viennent en concurrence avec leur propre application!
Je suis persuadée que les arnaques aux achats in-app prétendant mesurer votre fréquence cardiaque n'intéresseront Apple qu'avec le déploiement de l'ElectroCardiogramme de l'AppleWatch. Pour le moment ils valident sans se poser de question alors que l'arnaque est maintenant largement connue. (Cf le lien que j'ai donné plus haut vers HeartBeat qui est réapparue sur le store moins d'une semaine après son retrait sous son nom précédent.
Mon temps d'écran est mesuré par moi même. 0as besoin d'applications ou de censeurs
J’utilise Circle (de Disney) implémenté sur mon router Netgear Orbi pour le wifi et l’ethernet avec l’option Circle Go pour la 4G. Ça marche nickel pour gérer tous les appareils de mes enfants de l’iPhone, iPad, iMac à l’Apple TV, Samsung TV, même Airport Express, HomePod, Nintendo Switch, Xbox, PS4, sont contrôlés, le contenu filtrés (en fonction de l’âge de leur utilisateur) et bloqués aux heures de sommeil ... et je doute qu’Apple bloque Disney.